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Эвристические методы детектирования 
вредоносных программ на основе сценариев 


В статье рассмотрены существующие методы борьбы с вредоносными программами, а также предложен 
интеллектуальный мегод их детектирования на основе сценариев. Сценарии позволяют представить 
поведение вредоносных программ в иерархическом виде; приведен пример сценария поведения 
паразитического вируса и сценария внедрения кода в систему. Предложено формально описывать сценарии 
на основе регулярных выражений. Разработана архитектура эвристика, содержащего экспертную систему на 
основе сценариев. 


Введение 


В современном информационном мире уже давно наступил момент, когда стои- 
мость информации значительно превзошла стоимость систем для её обработки и хране- 
ния. На сегодняшний день уже, вероятно, не осталось компаний, которые бы не вели весь 
свой документооборот в электронном виде, пользователи повсеместно используют но- 
мера своих кредитных карт, пароли и другие частные данные. Всё это является желанной 
целью преступников [1]. 

По цели воздействия на компьютерные системы различают три основных типа 
угроз безопасности [2]: угрозы нарушения конфиденциальности информации; угрозы на- 
рушения целостности информации; угрозы нарушения работоспособности системы. 
Вредоносные программы нарушают целостность информации, хранящейся в компьютер- 
ной системе или передаваемой по каналам связи, направлены на ее изменение или иска- 
жение, приводящее к нарушению ее качества или полному уничтожению. 

Ситуация усложняется объединением компьютеров в глобальную сеть. Теперь 
атаки могут проводиться массово и со скоростью урагана на миллионы компьютеров со 
всего мира, кроме того, свободный доступ программ для проведения атак способствовал 
появлению так называемых скрипткидисов — людей, использующих готовое программное 
обеспечение для атаки, даже не всегда понимая принципов его работы. 

Вредоносные программы постоянно усложняются и совершенствуются, «Лабо- 
раторией Касперского» предложена следующая их классификация [3]: 

— МаЁ\маге — вредоносные программы, созданные специально для несанкционированного 
пользователем уничтожения, блокирования, модификации или копирования информации, 
нарушения работы компьютеров или компьютерных сетей. К данной категории относятся 
вирусы, черви, троянские программы и иной инструментарий, созданный для автомати- 
зации деятельности злоумышленников (инструменты для взлома, конструкторы поли- 
морфного вредоносного кода и т.д.); 

— РОРз (РоепнаПу Оп\у’аще4 Ргоотат$) — программы, которые разрабатываются и 
распространяются легальными компаниями, могут использоваться в повседневной работе, 
например, системных администраторов. Обладают набором функций, которые могут при- 
чинить вред пользователю только при выполнении ряда условий. Например, программы 
удаленного администрирования, опасны в руках злоумышленника. 
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Естественно, что с усложнением вредоносных программ совершенствуются и сред- 
ства борьбы с ними. На рынке присутствует большое количество различных програм- 
мных средств безопасности, начиная с простеньких антивирусов с сигнатурным поиском 
и заканчивая комбинированными системами, содержащими в себе, помимо прочего, 
межсетевой экран с системой предотвращения вторжений, эвристический поведенческий 
анализатор и так далее. 

Чтобы систематизировать существующие защитные технологии, предложено 
выделять в них два компонента: технический и аналитический [4]. 

Технический компонент обеспечивает сбор данных, которые, в дальнейшем, анали- 
зируются аналитическим компонентом. К этим данным могут относиться: файл, сово- 
купность действий в операционной системе или совокупность эффектов от этих действий. 
Технический компонент может использовать следующие способы сбора данных: 

1. Считывание файлов — самый старый и до сих пор используемый способ. 
Антивирус побайтово сравнивает поток байт на наличие вирусных сигнатур. 

2. Эмуляция кода программы — эмулятор разбирает байтовый код программы на 
команды и каждую команду запускает в виртуальной копии компьютера. 

3. Запуск программы в «песочнице» — является продолжением предыдущего спо- 
соба, но программе уже позволяется производить контролируемые действия в системе. 

4. Мониторинг системных событий — в отличие от предыдущих наблюдает не за 
конкретной программой, а за всеми производимыми в системе действиями. Технически 
реализуется перехватом функций ОС. 

5. Поиск системных аномалий — анализирует изменения в системе, сравнивая с эта- 
лоном или анализируя совокупность отдельных параметров. Для эффективного обна- 
ружения вредоносного кода таким методом необходима сложная аналитическая система — 
наподобие экспертной системы или нейронной сети, поэтому в настоящее время этот 
способ разработан мало. Зачатки его можно обнаружить в некоторых антируткит-ути- 
литах, где он реализован на уровне сравнения с определенным срезом системы, взятым за 
эталон, либо отдельных ее параметров. 

Аналитические компоненты по сложности алгоритма принятия решений можно 
классифицировать следующим образом: 

1. Простое сравнение — сравнение единственного объекта с имеющимся образцом. 
Например, поиск сигнатуры или идентификация подозрительного поведения программы 
по единственному совершенному ею действию (такому, как, например, запись в критич- 
ный раздел реестра). 

2. Сложное сравнение — сравнивается один или несколько объектов с шабло- 
нами, а результат является многозначным, каждое значение которого представляется 
с некоторой достоверностью. Например, определение злонамеренных действий по 
последовательности вызовов АР функций. 

3. Экспертная система — решение принимается на основе «тонкого» анализа. 
Пример: идентификация вредоносного кода по результатам оценки всей накоплен- 
ной информации о поведении программы, с присвоением каждому из событий веса 
«потенциальной вредоносности» и расчетом общего результата. 


Виды эвристических методов 


Далее рассмотрим несколько различных подходов, применяемых в эвристиках. 

По определению словаря Ожегова — Шведовой, «эвристика — совокупность 
исследовательских методов, способствующих обнаружению ранее неизвестного» [5]. 
Это способ решения проблем в тех случаях, когда не существует формальных мето- 
дов их решения либо они слишком сложны. 
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В экспертных системах широко используются эвристики при формализации профес- 
сиональных знаний специалистов в той или иной предметной области; в этом случае 
эвристики описывают, как эксперт обычно решает возникающие в его работе проблемы. 

При антивирусной защите некоторые задачи признаны не решаемыми, точнее говоря, 
невозможно получить точное их решение за ограниченное время [6]. И поэтому единст- 
венный выход состоит в использовании эвристик. При этом антивирус детектирует вредо- 
носные программы с помощью анализа их структуры и поведения вместо поиска сигнатур. 

Эвристика — это в первую очередь тип аналитического компонента защиты часто с 
искусственным интеллектом, предназначенного для «нечеткого» способа решения нечет- 
ко поставленной задачи. Как эвристические могут рассматриваться аналитические компо- 
ненты с экспертной системой или сложным сравнением. 

Сильной стороной эвристических методов является возможность поиска новых 
вредоносных программ (проактивная защита) до того, как будут выделены сигнатуры. 
Слабые стороны — это высокая вероятность ложных срабатываний, невозможность 
лечения, низкая эффективность против принципиально новых вредоносных программ [7]. 

Системы на основе весов и/или правил 

В системе, основанной на весах, на начальной стадии каждой найденной подозри- 
тельной функциональности присваиваются свои веса, которые затем суммируются. Если 
сумма оказывается больше некоторого порога, то делается заключение, что программа 
вредоносная. Но, поскольку, такой подход вызывает частые ложные срабатывания, эта 
технология по большей части не используется в «чистом» виде. 

Сегодня чаще используются подходы, основанные на правилах. При этом 
сравнивается обнаруженная функциональность с набором правил. Если предопреде- 
ленное правило либо некоторый их набор соответствуют коду, система сообщает, 
что возможен вирус [8]. 

Нейронные сети 

Для эвристического обнаружения компьютерных вирусов могут быть применены ней- 
ронные сети. Основным материалом для обучения нейронной сети является набор п-грам 
(последовательностей длиной несколько байтов), который указывает на заражение [9]. 
Исследователи ВМ определили, что наилучший результат достигается при исполь- 
зовании однослойных сетей совместно с системой голосования. В ходе эксперимента 
обучалась не одна, а множество нейронных сетей, каждая на основе различных характе- 
ристик. Чтобы вывести окончательный результат, была использована система голосова- 
ния, т.е. с позитивным результатом должны были согласиться несколько нейронных 
сетей. В результате исследования оказалось, что наилучший показатель достигается, 
когда пять из восьми сетей голосуют за позитивный результат. 

На практике нейронные сети очень эффективны против вариантов вирусов, похожих 
на те, которые использовались в обучающей выборке. Эффективные они и против новых 
семейств вирусов, которые по поведению достаточно похожи на образцы из обучающей 
выборки. Исследователи ВМ успешно применяют нейронные сети для эвристического 
определения загрузочных и \132 вирусов. Например, обученная нейронная сеть 
успешно обнаруживает сложный полиморфный вирус с неопределенной точкой входа, 
такой как /Непох!. Движок нейронной сети, разработанный компанией 1ВМ, представлен 
в антивирусе от Зутащес. Он вырабатывает настолько незначительное количество 
ложных срабатываний, что используется в основном при сканировании. 

Кластерный анализ 

Для машинного обучения применимы и другие методы, в частности, кластерный 
анализ. В [10] описано его применение в случае, когда исходными данными для обучения 
и сканирования являются сведения о поведении программ в виде последовательности 
событий, которые сохраняются в базе данных. Каждое событие содержит следующую 
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информацию: Ш) события, объект события (например, реестр, файл, процесс, сокет и т.д.), 
субъект события (процесс, выполняющий действия), вызываемая функция ядра, параметры 
(например, значение реестра, путь к файлу, [Р адрес), статус действия (создан описатель 
файла, удалён ключ реестра и т.д.). С использованием алгоритма кластерного анализа 
строится классификация на основе большого количества объектов из базы данных, содер- 
жащей последовательности вредоносного поведения; а затем полученные классы приме- 
няются при сканировании новых программ. Для определения схожести последователь- 
ностей событий применяется алгоритм вычисления расстояния Левенштейна. 

Согласованные эвристики 

В [11 разные независимые друг от друга эвристики работают согласованно для 
снижения количества ложных срабатываний: 

1. Взвешенная мини-сигнатура — короче обычной сигнатуры и недостаточна для 
однозначной идентификации вредоносной программы. Однако при использовании сов- 
местно с другими мини-сигнатурами риск ложных срабатываний снижается. Каждой 
мини-сигнатуре назначается свой вес и, когда сумма весов обнаруженных сигнатур 
достигает 1, программа признается вредоносной. 

2. База знаний по вредоносным программам — содержит имена файлов, 1Р-адреса, 
адреса электронной почты, СИЗ, ОВГ, и т.д., используемые во вредоносных программах. 
Такое решение аналогично базе данных СГЗТО с сайта НИр:/Амуу\.сазНесорз.сот/СТЗТО.Вт], 
но содержит, кроме имен СОМ-объектов, еще и другие характерные компоненты. Совпа- 
дения сканируемых объектов с базой знаний ищутся при помощи регулярных выражений. 

3. Нетипичная комбинация функциональности программы. Если программа 
содержит строки 'ЗОЕТУ/АКЕ\Мисгозо\УЛпдо\'\СштепУегзюоп\Кип” и 'адуар132.41, то, 
вероятно, она добавляет ключ реестра для автозапуска. Если программа содержит 'ММЕ- 
\Уегзоп: 1.0', значит, наверное, она отправляет почту. Соответственно, если присутствует 
строка 'ФапК.сот’, программа может отслеживать ОВГ, банка. Каждая из этих функций 
является обычной, если используются по отдельности, но если они собраны в одной прог- 
рамме, то существует высокая вероятность, что эта программа занимается воровством па- 
ролей к банкам и отсылает их по электронной почте. 


Существующие решения на базе эвристических методов 


На сегодняшний день основными областями применения эвристических методов в 
борьбе с вредоносными программами являются: 

— статический эвристический анализатор — ищет в коде подозрительные признаки 
(команды, ресурсы и др.), характерные для вредоносных программ; 

— динамический эвристический анализатор — эмулирует выполнение программы и 
наблюдает за наличием подозрительных действий; 

— поведенческий блокиратор нового поколения — анализирует последовательность 
операций, выполняемых в системе. 

Чаще всего статический и динамический анализаторы используют совместно. 

Большинство антивирусов содержат эвристические методы той или иной слож- 
ности для определения неизвестных угроз. Многие антивирусы содержат как минимум 
статический эвристический анализатор, другие, как №0032, Антивирус Касперского, 
ВиеЕеп{ег — динамический эвристический анализатор и/или поведенческий блокиратор 
нового поколения [12]. 

По результатам различных тестов наиболее эффективными по количеству 
определенных ранее неизвестных вредоносных программ являются Аупа АпНУп 
Регзопа! ЕЧюоп Ргетгат, ВИОеЕепдег, Еогте, МООЗ2, АУЙ. При этом №МООЗ2 реже 
других антивирусов показывает ложные срабатывания [10], [13], [14]. 
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Каждый антивирус имеет свои сильные стороны. Так, Антивирус Касперского 
славится своими декрипторами и оперативно обновляемыми вирусными базами. 
Эмулятор №МООЗ2 поддерживает практически полный набор инструкций процессора, 
включая ММХ и ЕРО. Могтап Уаз Сопёо|, помимо виртуального процессора, 
создаёт «зап4Бох» (песочницу), эмулирующую реестр и файловую систему [15]. 


Интеллектуальная система на основе сценариев для 
обнаружения вредоносных программ. Постановка задачи 


Целью статьи является разработка новых подходов для увеличения количества 
обнаруживаемых вредоносных программ, а также уменьшения ложных срабатываний 
при их детектировании. 

Предлагается экспертная система, основанная на сценариях поведения вредо- 
носного кода, для использования ее при проактивной защите, а именно, в эвристике 
антивируса и/или поведенческом блокираторе. Для упрощения изложения рассмот- 
рим её в составе эвристика. 

Почему должна быть экспертная система? 

Почему это должна быть экспертная система, а не обычная программа, 
например, система для обработки данных? Потому что описание поведения является 
не данными, а знаниями. В компьютерных науках существуют определения и для 
данных, и для знаний [16]. 

Определение 1 

Данные — это отдельные факты, которые характеризуют объекты, процессы и 
явления предметной области, а также их свойства. 

Определение 2 

Знания — это закономерности предметной области (законы, связи, правила), 
позволяющие экспертам ставить и решать проблемы в этой области. 

Знания преобразуются во время компьютерной обработки следующим образом: 

1. Знания в памяти человека как результат мышления. 

2. Материальные носители знаний -— книги, руководства и т.п. 

3. Поле знаний — общепринятое описание базовых объектов предметной области, 
их атрибутов и правил, а также связей между ними. 

4. База знаний на машинных носителях, которая близка к естественному языку — 
понятному неспециалисту в области компьютерных наук. 

Очевидно, что описания поведения вредоносной программы — это знания, а не 
данные, поскольку в нашем случае мы имеем не только факты, но и правила о том, 
как работают вредоносные программы. 

И поскольку мы имеем дело со знаниями, то для их обработки требуется 
экспертная система, которая сможет принимать решения о различных компьютер- 
ных объектах (проявляют ли они вредоносное поведение или нет), основываясь на 
базе знаний о поведении вредоносных программ. 

Как известно, экспертная система состоит из трех основных частей: базы 
знаний, системы управления базами знаний, осуществляющей ввод знаний, их 
хранение, редактирование, добавление и трансляцию во внутреннее представление, а 
также решателя (машины вывода) для обработки знаний при принятии решений [16]. 

Существуют различные модели представления знаний, такие как правила (если 
<условия> то <действия>), семантические сети, фреймы, сценарии (иерархии сценариев), 
как частный случай фреймов и другие. Таким образом, могут быть и разные системы 
управления базами знаний для различных типов представления. Также существуют 
различные способы обработки знаний, в частности, прямой логический вывод, обратный 
и комбинированный. 


«Штучний 1нтелект» 32008 201 


А Рувинская В.М., Беркович Е.Л., Лотоцкий А.А. 


Выбор способа представления знаний 

Нужно выбрать подходящее представление знаний для описания поведения 
вредоносных программ. Описание поведения содержит действия, но действия могут 
быть представлены алгоритмами, правилами или сценариями. 

Обычно для описания поведения программ используются алгоритмы. Но в нашем 
случае необходимо описать поведение не каждой программы, а целых классов 
вредоносных программ. Кроме того, должна быть возможность описать поведения на 
разных уровнях иерархии, чтобы пользователю можно было давать объяснения не на 
уровне элементарных действий, а используя общие доступные понятия. Таким образом, 
нам нужно некоторое обобщенное представление алгоритмов в иерархическом виде. Для 
этого предлагается использовать сценарии [16]. И сценарии предпочтительнее правил, 
поскольку они ближе к алгоритму, нежели правила (могут описывать не только 
состояния, но и порядок действий, а также итерации). 

При этом следует описывать не все поведения, а лишь отдельные характерные 
фрагменты, по которым можно идентифицировать вредоносные программы. 

Представление знаний с помощью сценариев 

Рассмотрим, из каких частей состоит сценарий. Сценарии разрабатываются для 
описания поведения, а каждое поведение обычно преследует какую-то цель. Так, в нашем 
случае цель — это то, что вредоносная программа пытается сделать, чтобы разрушить 
систему или ее компоненты (внедриться в систему, заразить бинарный файл и тому 
подобное). И, таким образом, цель явно или неявно отображается в имени сценария. 

Мы должны предсказать, как вредоносная программа могла бы себя повести 
для достижения цели, чтобы затем при детектировании сравнивать это поведение с 
ходом работы изучаемой программы. Например, если целью является заражение 
исполняемых файлов, вирус в первую очередь ищет файлы, открывает их, пишет в 
секцию кода и модифицирует заголовок. Эти шаги будем называть подцелями. 

Подцели — это промежуточные этапы для достижения цели. Таким образом, 
они могут рассматриваться как части сценария. Каждая подцель может иметь 
различные условия. Например, «открыть файл» всегда выполняется после «найти 
файл». Некоторые подцели могут быть обязательными, некоторые - нет. Но такие 
условия могут быть описаны различными способами. 

Некоторые подцели могут иметь дочерние сценарии, описывающие поведение 
для выполнения подцели. Например, для подцели «записать в секцию кода» мы 
должны «перейти в секцию кода», «использовать АР!-функцию \У/тиеЕЦе» и так 
далее. Таким образом, в результате построений получается иерархия сценариев. 

Далее опишем и приведем несколько примеров, описывающих поведение 
вредоносных программ, и, таким образом, получим набор иерархий сценариев. 
Первая иерархия сценариев показана на рис. 1. 

Цель сценария верхнего уровня — заразить исполняемый файл, то есть внедрить 
вирус таким образом, чтобы инфицированная программа, с одной стороны, оставалась 
работоспособной, а с другой — служила источником для размножения вируса. 

Подцели могут быть двух типов: 1) базовые (не имеющие дочерних сценариев) и 
2) подцели, определенные на основе базовых. Базовые подцели соответствуют тем 
действиям, которые мы перехватываем в системе, например, вызов АР1 функции. Таким 
образом, двигаясь от цели, мы определяем ее подцели, затем эти подцели через другие и 
так далее до тех пор, пока все подцели прямо или косвенно будут определены через 
базовые. Для первой иерархии сценариев, представленной на рис. 1, базовыми будут 
следующие подцели: АРТ функция ЕшАЕ ие, АРТ функция Ет@МежЕПе, АРТ функция 
У/шеЕЦе, АРТ функция СтежеЕЦе и АРТ функция ОрепЕЦе. Некоторые типы базовых 
подцелей и их формальные описания перечислены ниже. 
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Таким образом, каждый сценарий из иерархии состоит из имени, отображаю- 
щего цель выполнения сценария, и списка подцелей. 

Теперь необходимо определить, как формально записывать сценарии, и какие 
типы подцелей будут базовыми. Для записи сценариев мы предлагаем использовать 
язык, аналогичный языку регулярных выражений. Рассмотрим три базовых операции 
и две производные от них. Базовые операции: 

1. Конкатенация. Обозначается дефисом «—». а — Ь означает последовательное 
выполнение подцелей, сначала а, затем Ь (например, Ета ЕПе, а за ним Ореп ЕЦе). 

2. Дизъюнкция (ИЛИ). Обозначается знаком «|. а | Ь означает, что выпол- 
няется а или Б. 

3. Итерация. Обозначается знаком «*». а* означает, что сценарий а может повто- 
ряться произвольное число раз (в том числе и нулевое). 

Пример 

(а | Б)* — произвольное число раз повторяется а или БЬ, т.е. любая комбинация 
из символов а и Б, например, аааБ, БЬБЬ, Ба, и т.п. 


«Сценарий работы паразитического вируса» 


1 2 3 
Найти Открыть файл Записать в 


1 

1 

Изменить 
исполняемый секцию кода 
файл ! 
1 


заголовок 


обязательная после 1, обязательная после 2, обязательная после 2, не ооязательная 


дочерний сценарий для 
«Найти исполняемый файл « 


дочерний сценарий для 
«Записать в секцию кода» 


|1 2 | 2 
‚ | АРГ функция АРГ функция ‚ | Перейти в АРГ функция 
ЕшдЕн$ЕПе ЕшдМехЕЦе : секцию кода У/тиеРПе | 
обязательная не обязательная ! обязательная, после Ты 

ОЕ И т т и РИ СА БЕ О К оараь ЧЕ | 

‚ дочерний сценарий для | 

«Открыть файл» 

|“ 2 

‚ | АР АР! 

функция функция 

ИЛИ 


Рисунок 1 — Иерархия сценариев для описания поведения паразитического вируса 


Производные операции: 

1. ?-— не обязательная подцель, имя завершается символом «?». 

2. + подобно *, но повторения 0 раз не допускаются, т.е. разрешено только одно или 
более повторений. 

Пример 

Ь-а? —с - здесь возможны два варианта: Бас или Бс. 
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Теперь мы можем записать формально несколько поведений, характерных для 
вредоносных программ, и, таким образом, получим набор иерархий сценариев. 
Пример для первой иерархии сценариев: 


Сценарий работы паразитического вируса = (Поиск_исполняемого_ файла -— 
Открытие файла — Запись_в_секцию_кода — Модификация_заголовка?)- 


Поиск_исполняемого_ файла= 
АРТ функция _ЕтаР тя Ие-АРГ функция _ЕтаМем!ЕИе? 


Запись в секцию кода = Переход_к_секции_ кода — АРТ функция_ИтиеЕЙе 
Открытие файла = АРГ функция_СтешеЕйе | АРГ функция_ОрепЕИе 


АР!-функции являются базовыми подцелями и в дальнейшем не уточняются. Они 
соответствуют событиям, перехваченным анализирующей системой (базовым подцелям). 

Может возникнуть вопрос, почему недостаточно хранить лишь сценарии 
низших уровней иерархии, где находятся только базовые подцели? Ответ можно 
сформулировать следующим образом: если хранятся только сценарии с базовыми 
подцелями, то их «понимание остается только в голове у создателя». 

В случае же иерархии на верхних уровнях располагаются понятия, являющиеся 
обобщениями понятий нижележащих уровней. И, таким образом, мы получаем 
систему, которая может «понимать», что происходит, и объяснить это в терминах 
сценариев вышележащих уровней с нужной степенью детализации. 

Расширение возможностей (совершенствование) языка сценариев 

Для более точного анализа и чтобы избежать ложных срабатываний нам пона- 
добятся переменные и параметры подцелей. Например, необходимо описать пове- 
дение вредоносной программы, «прописывающей» себя в Автозагрузке (рис. 2). Цель 
этого сценария — внедрение вредоносного кода в систему. 


«Сценарий внедрения вредоносного кода в 


ЗИ 2 
Создать файл Добавить _в_Автозагрузку 
‚| (&Мепаше) (Репате) 


Кеглзу 
Кип/КипОпсе/ВипбегусеКеу 


МодКукеу([НКГМ\$оЙ\маге\Масгозо \\/Л шт 
4о\з\СитгетУ егз1оп\КапЗегу1се$Опсе], 
Непате) 


МодКукеу 
([НКЕМ\$ойу\гаге\Масгозо\\/тао\м\Сште 
пеУегз1оп\Вип$егу1се$]. епате) 


Рисунок 2 — Иерархия сценариев для внедрения вредоносного кода в систему 
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Итак, файл записывается на диск, а затем его имя «прописывается» в реестре. 
Мы хотим проверить не только, что произошли два события — запись файла на диск 
и изменение в реестре, — но также убедиться, что имя файла для обоих событий одно 
и то же. Это можно на нашем языке формально описать следующим образом: 


Стеше_ЕИе (&Шепате) —-Мо@Кеу(НКЕМ\5ойуаге\Мпстозой \Иптаом\ 
Ситтетегяюоп\Кип, Шепате), 


где /(епате — переменная, которая передается первой подцели по ссылке, а второй — 
по значению. Такая запись означает, что первая подцель считается выполненной, 
когда создается любой файл, и его имя запоминается в переменной №/епате. 
А вторая подцель выполняется тогда и только тогда, когда изменяется ключ реестра 
НКЕМ\$ой\уаге\Мисгозо\\УЛидом\СитептУегзоп\Вип, и туда записывается инфор- 
мация из переменной Д/епате. 

Таким образом, подцели могут иметь параметры двух типов: по ссылке (мы 
можем описать с помощью «&») и по значению (по умолчанию). 

Мы описали две иерархии сценариев и теперь можно перечислить типы подцелей 
(встретившиеся в примерах), которые анализирующая подсистема должна перехваты- 
вать (т.е. базовые подцели). 

Список базовых подцелей: 

1) модификация ключа реестра Мо }/Кеу(кеупате, Ааа), 

2) вызов АР[Г-функции АРГ </ипсНоп пате> (рагатеег5), 

3) запуск процесса Кип(&ртгосез5пате) или Кип(ргосез5пате). 

Теперь мы можем дать расширенное определение «Сценария внедрения 
вредоносного кода в систему»: 


Внедрение вредоносного _кода_в _систему = Создать файл (&епате) — 
Добавить_в_ автозагрузку (Шепате) 
Создать файл (&}[епате) = АРТ функция_СгешеЕИе(.., &Шепате,..) | 
АРТ функция_ОрепЕИЕе(.., &Шепате,..) 

Добавить в_Автозагрузку (Шепате) = Кезезту_Кип_КипОпсе_Кипфеплсез Кеуу (Шепате) 
Кезеяту Кип_КипОпсе Кипзепясез_Кеуб = 
Мофржеу([НКЕМ\5ойаге\Мстозой\Илтаомх\ 
Ситетегяюп\Кипзетясе$], Шепате) 
| Мо фжеу(([НКЕМ\5ойиаге\Мпстозой\Итаомх\ 
СитетТетяюп\Кип5епясезОпсе], Шепате) 


Архитектура эвристика 

Детектирование вредоносного кода с использование эвристика проходит три 
фазы [17]: фаза декодирования, фаза исследования и фаза оценки. Первые две фазы 
относятся к техническому компоненту, последняя — к аналитическому. 

Предназначение фазы декодирования — эмуляция требуемого количества инст- 
рукций, необходимых вирусу для декодирования своего тела. 

Предназначение фазы исследования — эмуляция, по крайней мере, единожды всех дос- 
тупных в программе секций кода, которые предположительно могут содержать вирусы. 

Предназначение фазы оценки — анализ любых подозрительных действий, которые 
были найдены во время декодирования и исследования, для определения инфицирован- 
ности программы. Это фаза делится на две. 

Первая — составление списка всех наблюдаемых поведений программы с 
использованием статического и динамического подходов. 

Вторая — анализ выявленных поведений. Именно здесь определяется, является 
ли множество обнаруженных поведений свойственным вредоносным программам 
или нет. Для этого используется база знаний. 

Фаза декодирования, исследования и первая часть фазы оценки выходят за рамки 
исследований, описанных в этой статье. Именно вторая часть фазы оценки будет эксперт- 
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ной системой, основанной на сценариях, то есть это будет решатель ЭС, который на 
основе логических выводов сможет проанализировать и сравнить просканированные фай- 
лы (их вредоносное поведение) со сценариями для каждого типа вредоносных программ 
или со сценариями различных типов вредоносного поведения. 

Полная архитектура эвристика отображена на рис 3. Она состоит из двух подсистем: 

1. Система управления базами знаний с базой знаний, базирующейся на иерар- 
хиях сценариев вредоносного поведения. Система управления базами знаний пред- 
назначена для организации ввода знаний, их хранения, редактирования, добавления 
и перевода во внутреннее представление. 

2. Эвристический сканер, включающий решатель экспертной системы, необхо- 
дим для определения инфицированности исследуемого объекта. 


Сканер эвристика 


Сканируемые база знаний фаза декодирования 


файлы с иерархиями 
сценариев фаза исследования 


они». фаза оценки 


БЗ — первая часть 
— вторая часть 


(решатель) 


Список вредоносных 
файлов 


Рисунок 3 — Архитектура эвристика, использующего экспертную систему 


Заключение 


Рассмотрим преимущества предлагаемой технологии. 

Экспертная система в большей степени, чем традиционные программы, подходит 
для решения задачи анализа при детектировании вредоносных программ по следующим 
причинам: 

1. Знания хранятся не в программном коде, где они могут быть изменены только 
программистом, а в базе знаний, и таким образом, могут быть просмотрены, изменены и 
добавлены экспертом — вирусным аналитиком. 

В нашем случае правила для эвристика записаны в текстовом файле с использова- 
нием специального языка. Множество правил может быть исправлено и расширено без 
перекомпиляции эвристика, таким образом, эвристик сам по себе универсален, т.е. неза- 
висим от множества правил. 

2. Экспертная система может объяснить свои решения, опираясь на логические 
рассуждения и иерархию сценариев. Для этих целей мы можем задать соответствующие 
сообщения для подцелей, которые будут показаны пользователю. 

Сценарии вредоносного поведения имеют преимущества по сравнению с другими 
моделями представления знаний, так как они могут описать всё то же, что и другие 
технологии и, к тому же, дополнительную информацию: 

1. На основе сценариев можно легко строить правила, которые учитывают не только 
вредоносные действия сами по себе, но также их множества и порядок исполнения. 
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2. Мы можем использовать переменные, которые будут связывать действия и, 
таким образом, гарантировать с высокой вероятностью, что эти действия не случайны, и 
что они направлены на достижение вредоносных целей. 

3. Сценарии более емкие, чем другие представления. Например, пусть задан сцена- 
рий, который имеет две подцели, причем, первая может быть выполнена тремя спосо- 
бами, вторая — четырьмя. В этом случае мы имеем двенадцать вариантов поведения. 

Такой подход при построении антивируса более эффективен, чем традиционные, 
без использования интеллектуальных технологий, так как позволяет увеличить коли- 
чество детектируемых вредоносных программ и уменьшить количество ложных срабаты- 
ваний за счет более «тонкого» анализа приближенного к работе человека-эксперта. 
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В.М. Рувинська, Е.Л. Беркович, А.А. Лотоцький 

Евристичн! методи дуфектування шкдливих програм на основ! сценарйв 

У стати розглянут! 1снуюч!: методи боротьби з шюдливими програмами, а також запропонований 
1нтелектуальний метод 1х детектування на основ! сценарйв. Сценарй дозволяють представити поведнку 
шюадливих програм в 1ерархчному вигляд!, наведений приклад сценарю повед1нки паразитичного втрусу 1 
сценар!ю впровадження кода в систему. Запропоновано формально описувати сценарй на основ! регулярних 
виразив. Розроблена архитектура евристика, що мстить експертну систему на основ! сценарив. 


Г.М. Виутзкауа, Уе.Т.. Вегсколсй, А.А. Гоо5у 
Неие5ис Ме®о4 о? Мауаге Раесйоп оп Фе Ва$1$ о? Зе р 5 

ш Фе агасе уме сопу4ег ех5ёеп тей о45 оР ВоВе агаизё а таКмаге, ап оНег фе зсепапоз Базе4 
шиеПесвла| пле#фо4 оЁ феи: деесноп. Зсепато$ аПо\у ргезепйп? апу таКмаге Бебамюиг ш а Шегагсыса| Ка; уаз 
апа зумет шёлазтоп зсепато$ ехатрез аге ргезете4. [1$ заоое$е4 ю 4езспбе зсепатоз оп йе Ба$15 обтееаг 
ехргезз1юп$. НеиизНс агсбЦесвге \уаз деуеореа, а соташие зсепапоз Базе сопзаН те то4е|. 
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